Protection de données : Mais qui est concerné par le RGPD ?

270
travailler sur Internet

Le RGPD, ou Règlement Général sur la Protection des Données est un texte produit par l’Union Européenne pour encadrer le traitement des données personnelles sur son territoire. Il représente la volonté de l’Europe de contrôler la façon dont les entreprises européennes et mondiales gèrent les données des citoyens européens. Bien qu’il fût en préparation depuis Janvier 2012, il n’est entré en vigueur que le 25 Mai 2018, pour le plus grand bien des internautes.

Données personnelles et traitement de données personnelles, qu’est ce que c’est ?

Le RGPD a pour objectif de protéger les données personnelles des internautes européens. Mais qu’est-ce qu’on peut considérer comme une donnée personnelle et en quoi consiste le traitement de ces données ?

Lire également : Ce qu’il faut savoir sur les étiquettes à code-barres

La donnée personnelle

Une donnée personnelle c’est toute information permettant d’identifier une personne physique directement ou indirectement.

Nous sommes tous d’accord pour dire que vos noms, prénoms, empreintes digitales et même ADN sont des données qui permettent de vous identifier facilement et directement. Mais d’autres informations telles que votre numéro de téléphone, votre âge, votre sexe, votre adresse, votre lieu de travail ou école peuvent servir à vous identifier, cette fois de manière indirecte.

Lire également : Le callbot, c’est quoi ?

Certaines données personnelles sont plus sensibles que d’autres. Une adresse e-mail est une donnée personnelle importante, mais elle peut l’être moins qu’un numéro de compte bancaire, un dossier médical ou même dans certains pays une préférence sexuelle.

L’Union Européenne considère même les idées politiques et les préférences religieuses comme des données personnelles. En fait, à partir du moment où une information peut être utilisée seule, ou croisée avec d’autres pour identifier une personne, elle constitue une donnée personnelle.

Le traitement des données personnelles

Le traitement des données personnelles désigne le processus de collecter, stocker, manipuler et diffuser (ou partager) des données personnelles. On comprend facilement ce que collecter et partager signifient, mais c’est souvent au niveau du stockage et de la manipulation que beaucoup d’organisations se perdent.

Plus simplement, le simple fait de placer un formulaire sur un site web, ou encore de faire une géolocalisation de vos utilisateurs constitue une collecte d’informations. Donc clairement, si vous possédez une application, vous commencez à collecter les données de l’utilisateur à partir du moment où il l’a installée. Lorsque ces informations se retrouvent sur une base de données ou sur de simples fichiers tels que Excel ou Word, c’est déjà du stockage.

En ce qui concerne la manipulation des données personnelles, c’est l’ensemble des opérations de tri, modification, combinaison avec d’autres données, suppression de certaines données, addition etc. qui s’appliquent à ces données.

L’UE considère qu’on commence à parler de traitement des données personnelles lorsque celui-ci vise un objectif précis. Par exemple, lorsqu’une entreprise classe ses clients selon leur tranche d’âge, ou encore leurs préférences en matière de divertissement, c’est du traitement de données personnelles.

Par contre, manipuler une base de données contenant des informations telles que des noms d’entreprises, leurs pays d’origine, leurs chiffres d’affaires n’est pas du tout un traitement de données personnelles.

Notez enfin qu’un traitement de données personnelles ne se fait pas forcément avec des ordinateurs. Même un fast-food qui enregistre les noms et adresses de ses clients à la main sur du papier fait du traitement de données personnelles, et est soumis aux mêmes contraintes que des géants comme Apple et Google.

Qu’est ce que le RGPD ?

Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Régulation (GDPR en Anglais) est un document qui pose un cadre juridique et réglementaire pour le traitement des données personnelles du citoyen Européen ou sur le territoire de l’UE. Plus précisément, il indique aux organisations comment elles doivent procéder pour collecter, stocker, manipuler et diffuser les informations des Européens.

Les experts en matière de protection des données personnelles considèrent le RGPD comme le meilleur texte au monde en ce qui concerne l’encadrement des organisations dans leur façon de collecter et traiter les données dans l’espace numérique. Il a considérablement amélioré la confidentialité et le contrôle que les utilisateurs ont sur leurs informations personnelles.

C’est par exemple au RGPD que vous devez la petite bannière qui apparaît sur les sites web pour vous demander d’accepter les cookies ou non. Comme la grande majorité des textes juridiques, le RGPD n’est pas tout à fait facile à interpréter ; ce qui permet à certaines organisations mesquines de jouer avec la loi. Le document contient 99 articles plus ou moins explicites.

Avant le RGPD, c’est la loi de 1995 sur la protection des données qui était appliquée, mais de 1995 à 2012, le monde du numérique a beaucoup évolué. Le parlement Européen a commencé en 2012 à travailler sur un nouveau texte pour encadrer le traitement des données numériques à l’ère du Big Data sur le territoire Européen.

Il a fallu quatre longues années de discussions et de négociation, avant que le RGPD soit adopté dans la forme finale qu’on connaît aujourd’hui, mais il a fallu attendre encore deux ans avant qu’il n’entre en vigueur, le 25 mai 2018.

La France n’a pas attendu l’arrivée du RGPD pour contrôler l’utilisation des données personnelles des Français par les grandes entreprises. Le texte Européen est juste venu compléter et renforcer ce qui se faisait déjà en France. Aux USA, plus précisément en Californie, on retrouve un texte similaire au RGPD qui défend la protection de la vie privée des consommateurs.

Le RGPD est basé sur sept principes fondateurs qui montrent la voie aux différentes organisations, sans toutefois être des obligations. Ils constituent un cadre global dans lequel vous retrouvez les objectifs généraux de ce projet de réglementation. Les principes du RGPD sont :

• La légalité ;

• L’équité et la transparence ;

• La minimisation des données ;

• La précision ;

• La limitation de stockage ;

• L’intégrité et confidentialité (sécurité) ;

• La responsabilité.

Ils sont tous importants aux mêmes niveaux, mais la responsabilité est le principe qui pose le plus de problèmes aux géants du numérique. Un autre principe important mais qui est le moins respecté, c’est la minimisation des données. Ce principe stipule qu’une entreprise ne devrait collecter que le minimum de données dont elle a besoin pour effectuer ses opérations, et pas plus.

Ce principe est clairement violé par les GAFAM qui collectent parfois des données avant de décider plus tard ce qu’elles comptent en faire. Toutefois, comme nous l’avons dit, ces principes ne sont pas obligatoires, mais indiquent seulement la voie à suivre dans le traitement des données personnelles. Enfin, l’avantage avec le RGPD, c’est qu’il n’a pas seulement amélioré le pouvoir des utilisateurs sur leurs données personnelles en Europe, mais aussi dans le monde entier.

Qui est concerné par le RGPD ?

Toute entité ou organisation qui mène des activités impliquant la manipulation des personnes vivant sur le territoire Européen est concernée par le RGPD et doit s’y conformer, sous peine de lourdes sanctions. Plus simplement, que vous soyez une entreprise, un État, une personne physique ou même une ONG, si vous avez accès aux informations concernant les résidents Européens, vous avez l’obligation de respecter le RGPD.

Même si vous n’êtes pas le premier détenteur de ces données, vous devez les manipuler selon les contraintes du RGPD. Par exemple, si vous avez une entreprise d’analyse de données clients, et que le propriétaire d’un site Web marchand vous envoie des données de clients résidant en Europe à traiter, vous devez le faire en respectant le RGPD.

Certaines entreprises se sont vues infliger des amendes parce qu’elles n’ont pas su interpréter les textes du RGPD. Si vous avez une entreprise dont le siège est en Côte d’ivoire, par exemple, et que vous vendez des produits à des clients vivant en France, ou dans tout pays membre de l’UE, le RGPD vous est appliqué. De même, si vous avez une société basée sur le territoire de l’UE et que vous exportez des produits hors de ce territoire, vous devez quand même respecter le RGPD.

En gros, si votre entreprise exerce sur le sol d’un pays de l’UE, elle doit respecter le RGPD, même si elle ne manipule pas les données personnelles des citoyens Européens. Si elle n’est pas basée en Union Européenne et qu’elle traite les données personnelles des personnes qui y vivent, elle doit respecter le RGPD.

On entend très souvent parler des amendes record infligées par l’UE à des géants du numérique mais en vérité, les PME et TPE ont plus de mal avec l’application du RGPD. Parfois, c’est parce qu’elles ne le comprennent pas bien, d’autres fois, c’est parce qu’elles se disent que leur petite taille les dispense de certaines obligations.

Comment se conformer au RGPD ?

Pour éviter d’avoir à faire au parlement Européen, il faut respecter les textes du RGPD. C’est vrai que c’est plus facile à dire qu’à faire, surtout pour les TPE et PME qui n’ont pas toujours les moyens de se payer les services d’un conseil juridique. L’Union Européenne et les différentes organisations en matière de traitement des données personnelles des pays membres mettent des guides détaillés à la disposition des organisations et entités concernés.

En effet, il ne s’agit pas seulement de punir, mais d’abord de sensibiliser et d’accompagner les acteurs du secteur dans l’implémentation de cette réglementation. En France par exemple, le site Web de la CNIL (Commission Nationale de l’Informatique et des Libertés) est plein de ressources qui peuvent aider les organisations de toutes tailles à se conformer au RGPD. Pour vous conformer, vous pouvez le faire en interne ou alors déléguer cette tâche.

En interne

Voici quelques étapes simples pour une entité qui souhaite se conformer au RGPD :

  • Vérifiez que les principaux responsables de votre organisation, en plus des employés de la cellule informatique, comprennent l’importance du RGPD et sa conformité. Ne confiez pas cette tâche à n’importe qui.
  • Faites en sorte que ce soit clair pour tout le monde quand une donnée est considérée comme personnelle. Que les membres de la cellule informatique soient formés à la gestion des données personnelles, qu’ils travaillent en étroite collaboration avec le département juridique.
  • Vérifiez que vos politiques de confidentialité sont à jour, que vos utilisateurs comprennent bien ce que vous avez l’intention de faire avec leurs données personnelles.
  • Vous connaissez les sept principes qui sont au cœur du RGPD, l’un des plus importants c’est la sécurité. Les données de vos clients sont-elles stockées de manière sécurisée ? Vous stockerez vos propres données confidentielles dans cette base de données ? Posez-vous ce genre de questions.
  • Vos utilisateurs ont la possibilité dans une certaine mesure de demander une suppression de données. Votre système informatique est-il organisé de manière à faciliter ce genre d’opérations ? Facebook s’est déjà vu infliger une amende juste parce que ses utilisateurs ne comprenaient pas comment supprimer totalement leurs comptes. Le délai de suppression des données ne doit pas excéder un mois.
  • Sur quelle base légale votre activité se déroule-t-elle ? Tout cela est prévu dans le RGPD. Vérifiez bien et mettez à jour vos procédures.
  • Comment vérifiez-vous l’âge de vos utilisateurs ? Comment procédez-vous pour les informer de ce qu’ils ont le droit de faire ou pas sur votre plateforme selon leur âge. À titre d’exemple, certaines fonctionnalités d’Instagram ou TikTok sont inaccessibles aux moins de 14 ans.
  • Vérifiez que vos procédures pour détecter, signaler et enquêter sur une violation de données personnelles sont bien solides.
  • Assurez-vous que vous avez clairement désigné une personne qui sera responsable en cas de problème avec la protection des données personnelles de vos utilisateurs. Pas un département ou une cellule, mais bien une personne. Cette personne doit être celle qui dirige la procédure d’implémentation du RGPD.

Faire appel à un prestataire extérieur

Afin de vous assurer que votre entreprise se conforme au RGPD, il serait plus prudent de faire appel à un prestataire extérieur qui maîtrise les divers aspects du RGPD. Pour cela, vous pouvez recruter un consultant ESN ou Entreprise du Service Numérique. Que ce soit pour créer un site web, monter un système informatique ou un réseau d’entreprise, un consultant ESN vous aidera avec la partie qui concerne le respect du RGPD et plus.

En plus d’une assistance dans le traitement des données personnelles, un bon ESN peut vous offrir d’autres services tels que : le Cloud Computing, le développement et la maintenance de vos applications Web et mobile, la gestion de l’expérience client, l’intelligence artificielle, les solutions de cybersécurité, la virtualisation, etc.